ISMS, プライバシーマークに関するさまざまな資料と役立つリンク集

情報セキュリティ対策に使えるガイドライン まとめ

09.27.2019 (update10.17.2019)
お役立ちサイト.  102 views

情報セキュリティおよび個人情報の取扱い保護に関連したガイドライン等は、各団体から多く公表されています。

各業界や事業により適用または関連するものから、教育等に利活用できるものなど、様々です。

以下に、わずかではありますが、インターネット上に公表されているガイドラインを一部紹介します。
ご参考ください。

内部体制に関連

情報セキュリティ早期警戒パートナーシップガイドライン

ソフトウェア製品及びウェブサイトに関する脆弱性関連情報の円滑な流通、および対策の普及を図るため、公的ルールに基づく官民の連携体制として整備された「ガイドライン」。

組織における内部不正防止ガイドライン

IPAセキュリティセンターが、内部処理されてしまう傾向にあるため、それぞれの組織が経験などをもとに個別に対策を講じていた「内部不正」の対策整備および発生した際の早期発見・拡大防止を視野に入れたガイドラインを発行。

内部不正対策ソリューションガイド

IPA(独立行政法人情報処理推進機構)が、2013年3月に公開した「組織における内部不正防止ガイドライン」に定められた各条項を具現化し、「組織における内部不正」を抑制するための具体的ソリューションを紹介することを目的と作られた「ソリューションガイド」。

サイバーセキュリティ経営ガイドライン

経済産業省がIPAとともに、大企業及び中小企業のITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象に、サイバーセキュリティ対策を推進するために策定したガイドライン。

サイバーセキュリティ経営ガイドライン解説書:IPA

中小企業の情報セキュリティ対策ガイドライン

IPA(独立行政法人情報処理推進機構)が公開している、中小企業にとって重要な情報を漏えいや改ざん、喪失などの脅威から保護することを目的とする情報セキュリティ対策の考え方や実践方法について説明したガイドラインです。

セキュリティ対応組織の教科書

日本ネットワークセキュリティ協会(JNSA)が、SOC (Security Operation Center)や CSIRT(Computer Security Incident Response Team)と言ったセキュリティ対応組織において、どのような機能や役割、人材が必要となるかについてまとめたもの。

制御システムのセキュリティリスク分析ガイド

IPAセキュリティセンターが、重要インフラや産業システムの基盤となっている制御システムのセキュリティを抜本的に向上させるのに重要な位置付けとなるセキュリティリスク分析を、事業者が実施できるようにするための作成したガイド。

ASP・SaaS における情報セキュリティ対策ガイドライン

ASP・SaaSサービスの特性に基づいたリスクアセスメントを実施し、ASP・SaaS事業者が実施すべき情報セキュリティ対策を取りまとめることにより、どの ASP・SaaS 事業者にも実践的で取り組みやすい対策集となっています。

外部脅威への対応策

フィッシング対策ガイドライン

フィッシング対策協議会が、2017年に公表したフィッシング対策ガイドラインについて、各要件に対する内容の見直し、読みやすさの向上、脅威の現状や新しい対策技術の反映を目的に改訂された「フィッシング対策ガイドライン」です。

利用者向けフィッシング詐欺対策ガイドライン

フィッシング対策協議会が、利用者向け啓発教材として、作成、提供している利用者向けのフィッシング詐欺対策ガイドライン。

インターネットバンキングの不正送金にあわないためのガイドライン

フィッシング対策協議会により公開された、フィッシング詐欺及びウイルスやマルウエア感染の対策を呼びかけることにより不正送金による被害抑制を目的として策定されたガイドライン。

リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)

総務省が、国内のウェブサイトに対して行われている「リスト型アカウントハッキング(リスト型攻撃)」とみられる不正アクセス事案の急増に対して、サイト管理者などのインターネットサービス提供事業者が、サービスを運営する際に参考にしていただきたいリスト型攻撃への対策集を作成。

『高度標的型攻撃』対策に向けたシステム設計ガイド

「『標的型メール攻撃』対策に向けたシステム設計ガイド」の改訂・拡充版として、情報システム内部に深くに侵入してくる高度な標的型攻撃を主対象とした、システム上の設計策をまとめたガイド。

スマートフォンへの対策

スマートフォン&タブレットの業務利用に関するセキュリティガイドライン

日本スマートフォンセキュリティ協会が発行している、ビジネスで有効に活用するために必要となる、正しい情報と全体を見渡すための知識を補うため、代表的な利用シーンや管理のポイント、およびそこに内在する脅威と対策について整理されたガイドライン。

スマートフォン プライバシー

総務省が、スマートフォン利用者が安心・安全にアプリを利用できるよう、関係事業者及び利用者への周知啓発により、プライバシーに配慮した形でアプリを利用できる環境の実現を目指して作成した、「スマートフォン プライバシー イニシアティブ(SPI)」の1から3および「スマートフォン プライバシー アウトルック(SPO)」の指針。

スマートフォンのアプリケーション・プライバシーポリシーに関するガイドライン

一般社団法人モバイル・コンテンツ・フォーラム(MFC)が、モバイルの中でも取り分け急務とされる、スマートフォンのアプリケーションを開発もしくは提供する事業者、個人等が、利用者の端末内情報の取り扱いに関して、「アプリケーション・プライバシーポリシー」を作成するために重要な考え方を取りまとめたものです。

スマートフォンネットワークセキュリティ実装ガイド

一般社団法人日本スマートフォンセキュリティ協会(JSSEC)が、企業がスマートフォンを業務利用する際に講じるべきネットワークセキュリティ対策の実装方式、及び考慮すべき事項を整理し、安心してスマートフォンを利用できるネットワークの実現に寄与する目的で作られたガイド。

スマートフォンの安全な利活用のすすめ~スマートフォン利用ガイドライン~

スマートフォンの安全な利活用を促進するため、現状の課題を整理し、組織の責任とユーザーリテラシーの境界線を明確化し、さまざまな利用局面において実施すべきセキュリティ対策を紹介する、JNSA(日本ネットワークセキュリティ協会)が策定したガイドラインです。

スマートフォンの業務クラウド利用における、端末からの業務データの情報漏洩を防ぐことを目的とした、企業のシステム管理者のための開発・運用管理ガイド

スマートフォンおよびタブレット端末のクラウドにおける業務利用にて、情報漏洩防止リスクパターンを論理的かつ網羅的に洗い出し、セキュリティ対策の判断指針として活用されることを目的として、日本スマートフォンセキュリティ協会(JSSEC)が作成したガイド。

情報漏えいを防ぐためのモバイルデバイス等設定マニュアル

IPA(独立行政法人情報処理推進機構)が、外出先に携行したパソコン等の機器を紛失した際の情報漏えいを防ぐための対策という観点で、その仕組みや運用方法等をまとめたマニュアル。「解説編」と「実践編」の2部構成となっており、紛失などによる情報漏えいトラブルの回避策を利用者が自ら行えるよう、情報の重要度にあわせた対策と端末や可般媒体ごとの対策を解説。

ISMS(ISO27001)に関連

ISMSユーザーズガイド – JIS Q 27001:2014(ISO/IEC 27001:2013)対応

JIPDECが公開している、JIS Q 27001:2014(ISMS要求事項)に対応したISMSユーザーズガイド。ISMS認証取得を検討若しくは着手している組織において、実際にISMSの構築に携わっている方及び その責任者をの主な読者として想定しており、JIS Q 27001:2014に記述された主要な条項を紹介し、要求する内容、要求の意図、コンセプトなどについて解説。

個人情報保護に関連

特定個人情報の適正な取扱いに関するガイドライン

  • 特定個人情報の適正な取扱いに関するガイドライン(事業者編)
  • 別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン
  • 特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)

事業者が匿名加工情報の具体的な作成方法を検討するにあたっての参考資料(「匿名加工情報作成マニュアル」)

経済産業省が、平成27年9月の個人情報保護法の改正に伴い、新たに定義された匿名加工情報の作成手順・方法について、事業者の今後の検討の参考資料として作成した「匿名加工作成マニュアル」。具体的なユースケースを用いて、学界、産業界、消費者団体等における有識者により検討を重ね、事業者の今後の検討の参考に資するものとして作成されています。

顧客から預かる情報の取扱いについて(解説)

JIPDEC発行「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版 第二部」において、顧客から情報を預かる事業者(倉庫事業者、廃棄事業者、ハウジング・ホスティング事業者、クラウド事業者等の受託者) 及び受託者に情報を預ける事業者(委託者)、双方の具体的な対応方法をより詳細に説明するために公表した資料。

「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A

「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関する、よくある質問と回答が記載されています。